研究Linux下Firewall的配置(2)

http://www.itjxue.com  2015-07-14 22:42  来源:未知  点击次数: 

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

其中 -m state 部分另外多了 RELATED 的项目,该项目也就是状态为主动建立的封包,不过是因为与现有 ftp 这类连线架构会引发另外才产生的主动建立的项目。

 

不过若是主机 ftp 服务不在 port 21 的话,请使用下列方式进行调整:

 

CODE:

 

modprobe ip_conntrack_ftp ports=21,30000

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

 

modprobe ip_conntrack_ftp ports=21,30000

 

iptables -P INPUT DROP

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 

iptables -A INPUT -p tcp --dport 30000 -j ACCEPT

 

也就是主机本身提供 ftp 服务分别在 port 21 与 30000 上,让 ip_conntrack_ftp 这个 ftp helper 能够正常提供 ftp 用户端使用 passive mode 存取而不会产生问题。

(责任编辑:IT教学网)

更多

阅读排行

推荐杀毒防毒文章

最新更新杀毒防毒